《web安全深度剖析》书籍学习笔记01day

1.没有绝对安全的网络

1. 安全问题最多的还是出在“人”的问题，比如程序开发员意识上的疏忽，认为自己的网站不会遭到黑客的攻击从而忽略了安全，再有就是安全人员技术问题，程序存在漏洞等
2. 有经验的安全开发者虽然可能会对安全上做一些防护，但是因为对安全方面不熟悉，所以在防护方面做的不够完善。
3. 网站管理员、运维等，造成密码泄露、系统配置不够标准，导致配置错误等问题的出现等等问题

2.三种对服务器下手的手段

1. C段，通过扫描C段，对同一网段内主机进行内网渗透。
2. 社会工程学，高端攻击者必备技能，渗透测试不仅仅依靠技术。（不是我说的，是书中介绍的）
3. Service：对服务器进行溢出。

3.按照学习需求学习编程语言

语并不是说让安全人员，去学会开发，而是要学会看懂代码，能写就更好了。

web渗透工程师的话最好是掌握任意一门web语言、并掌握一门数据库语言、掌握web前端语言，个人觉得如果能多了解一下服务器使用配置就更好了。

1. C/c++ 永不衰败的语言

适合偏底层，windows80%是由这个语言完成的。

适合研究缓冲区溢出，针对底层协议写软件。如：NC、LCX、DNSSniffer、Hydra、溢出程序等

2.JAVA 跨平台的语言，“一次编译，到处运行”

适合应用层开发，目前很多大型企业的网站都采用JAVA作为web开发的首选。如：Burp suite、Paros proxy等

3.C# 与JAVA70%雷同

适用应用层，拥有强大的.NET Framework支持，但不能跨平台。如：Pangolin、Jsky等

4.PHP 跨平台语言，脚本语言，无需编译“世界上最好的语言”

由于他的易学特性及在web上的表现，作为web安全研究者，所以很多人会去学习它。

5. Python 跨平台，脚本语言，无需编译。“人生苦短，我用python”

适用于shell操作，因为其特性以及和其它语言的黏性，所以很多研究者都比较喜欢python，例如：SQLmap、W3af，在渗透测试平台，很多人用它来写工具。

6.HTML：前端语言之一，渗透测试人员必备的语言。

7.JavaScript：前端脚本语言，需要熟练掌握，才能了解前端代码存在的漏洞。

8.数据库：数据库种类繁多，起码要掌握一门SQL语句，因为没有网站不使用数据库。

推荐编程学习平台（声明：没收钱、没收钱、没收钱）都是自己用过的比较好用实惠的：

蓝桥实验楼 https://lanqiao.cn/vip 邀请码：2643VVO 全程跟着做实验，增加实操能力。

编程狮 https://www.w3cschool.cn/ 这个携带比较方便，电脑、平板、手机随时都可以看，有视频和练习题，也有在线编程的方法。

第二章：深入了解HTTP请求详情

火狐开发者技术文档 https://developer.mozilla.org/zh-CN/docs/Web/HTTP 这个就省略笔记了，这个可以看火狐浏览器开发者技术文档。

嗯，还是需要多看一下这个文档，主要要详细了解数据包的结构（如get、POST请求这些）、还有响应代码的含义。

声明：本人原创，未经允许，禁止转载